[請益] 上傳檔案的安全性

作者TERRYB (白夜行)

看板PHP

標題[請益] 上傳檔案的安全性

時間Fri May 8 10:10:48 2009

我有個問題想了很久，不知道這邊有沒有人可以幫我回答? 我最近要做一個檔案上傳的功能，我目前是用FORM的file去傳傳的時候是有順利完成，不過我又想到一個問題就是如果使用者上傳PHP檔、執行檔甚至病毒的話，會不會造成整個SERVER掛掉.... 我上網找好像說可以把資料夾設成不執行php，不過不知要從哪邊設定，有人能跟我說嗎? 而執行檔跟病毒的話，又要怎麼去預防呢? 請各位指點，謝謝 PS.我的SERVER是WINDOWS+APPSERV -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.117.152.156

推 appleboy46 :你可以限制上傳的副檔名，就不會有此問題了 05/08 10:41

→ evil2004 :上傳執行檔只要不執行就不會有事!...最怕的是上傳php 05/08 11:17

→ evil2004 :檔...我們老師有經歷過...說一個系統給學生交php的作 05/08 11:17

→ evil2004 :業...上傳後執行內容是把所有學生的作業全部刪除... 05/08 11:17

→ evil2004 :如此這般的作業就不知取向了OTZ 05/08 11:18

→ evil2004 :那位學生寫的那個刪作業的程式...連自身的檔案也一併 05/08 11:19

→ evil2004 :刪除!!...老師也不知從何抓起! 05/08 11:20

→ TERRYB :是不是儲存檔案的位置放在appserv的www以外的資料夾 05/08 11:22

→ TERRYB :執行檔就沒辦法執行了呢? 05/08 11:22

→ TERRYB :還是必須用其他方式去擋呢? 05/08 11:23

推 yanli2 :限定副檔名限定大小 05/08 11:35

推 appleboy46 :上傳檔案，當然最好是傳到 php 無法執行的地方 05/08 13:30

→ appleboy46 :然後 web 也存取不到的地方，我想這是最安全的 05/08 13:30

→ TERRYB :對阿帕契不是很熟，server中www以外的資料夾web能存 05/08 13:54

→ TERRYB :取嗎?還是一定要網路磁碟把檔案傳到另一台主機呢? 05/08 13:55

→ akasan :apache httpd.conf Directory中可設定 05/08 16:35

→ akasan :其中的 Options 的 ExecCGI 拿掉就可以不執行 05/08 16:36

→ akasan :去試了一下好像對php無效XDXD.... 05/08 16:42

→ akasan :亦或是直接該資料夾Deny from all XD? 05/08 16:44

→ KC73 :Chapter 39. Handling file uploads <== 讀一下吧! 05/08 22:33

推 BK94056 :想到一個很爛的方法, 把所有upload上來的東西gzip掉. 05/09 00:39

→ emn178 :用header送出強制下載就行了 05/11 16:18

推 superGA :linux + 權限控管 05/12 12:01

推 f750502 :不知道改副檔名這個方法如何? 把上傳檔案自動加入.xx 06/05 09:44